Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio - AWS CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio

Questa sezione descrive la politica di autorizzazione richiesta al CloudTrail ruolo per inviare eventi di registro a Logs. CloudWatch È possibile allegare un documento di policy a un ruolo quando si configura l'invio CloudTrail di eventi, come descritto in. Invio di eventi ai CloudWatch registri Puoi creare un ruolo anche utilizzando IAM. Per ulteriori informazioni, consulta Creazione di un ruolo per delegare le autorizzazioni a un ruolo IAM Servizio AWS o Creazione di un ruolo IAM ()AWS CLI.

Il seguente documento politico di esempio contiene le autorizzazioni necessarie per creare un flusso di CloudWatch log nel gruppo di log specificato e per inviare CloudTrail eventi a quel flusso di log nella regione Stati Uniti orientali (Ohio). Questa è l'impostazione di default per il ruolo IAM CloudTrail_CloudWatchLogs_Role.

{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

Se stai creando una policy che potrebbe essere utilizzata anche per i trail dell'organizzazione, dovrai modificarla a partire dalla policy predefinita creata per il ruolo. Ad esempio, la seguente politica concede CloudTrail le autorizzazioni necessarie per creare un flusso di log di CloudWatch Logs nel gruppo di log_group_name log specificato come valore e per inviare CloudTrail eventi a quel flusso di log per entrambi i trail nell' AWS account 1111 e per gli itinerari organizzativi creati nell'account 1111 che vengono applicati all' AWS Organizations organizzazione con l'ID dio-exampleorgid:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Per ulteriori informazioni sui trail dell'organizzazione, consulta Creazione di un percorso per un'organizzazione.